Endereços de email e o escopo do GDPR. Regulamento Geral de Proteção de Dados

No 25th de maio, o Regulamento Geral de Proteção de Dados (GDPR) entrará em vigor. Com a instalação do GDPR, a proteção de dados pessoais se torna cada vez mais importante. As empresas precisam levar em consideração regras mais rígidas em relação à proteção de dados. No entanto, várias questões surgem como resultado da parcela do RGPD. Para as empresas, pode não estar claro quais dados são considerados dados pessoais e se enquadram no escopo do RGPD. É o caso dos endereços de email: um endereço de email é considerado dados pessoais? As empresas que usam endereços de e-mail estão sujeitas ao GDPR? Essas perguntas serão respondidas neste artigo.

Dados pessoais

Para responder à pergunta sobre se um endereço de e-mail é ou não considerado dados pessoais, é necessário definir o termo dados pessoais. Este termo é explicado no RGPD. Com base no artigo 4 sub a GDPR, dados pessoais significam qualquer informação relativa a uma pessoa física identificada ou identificável. Uma pessoa singular identificável é uma pessoa que pode ser identificada, direta ou indiretamente, principalmente em referência a um identificador, como nome, número de identificação, dados de localização ou identificador on-line. Dados pessoais se referem a pessoas físicas. Portanto, informações sobre pessoas falecidas ou pessoas jurídicas não são consideradas dados pessoais.

Endereços de email e o escopo do GDPR

Endereço de e-mail

Agora que a definição de dados pessoais foi determinada, é necessário avaliar se um endereço de e-mail é considerado dados pessoais. A jurisprudência holandesa indica que os endereços de e-mail podem ser dados pessoais, mas nem sempre é esse o caso. Depende se uma pessoa física é ou não identificada ou identificável com base no endereço de e-mail. [1] A forma como as pessoas estruturaram seus endereços de e-mail deve ser levada em consideração para determinar se o endereço de e-mail pode ser visto como dados pessoais ou não. Muitas pessoas físicas estruturam seu endereço de e-mail de forma que o endereço deve ser considerado um dado pessoal. Este é o caso, por exemplo, quando um endereço de e-mail é estruturado da seguinte maneira: [email protegido] Este endereço de e-mail mostra o nome e o sobrenome da pessoa física que usa o endereço. Portanto, essa pessoa pode ser identificada com base neste endereço de e-mail. Os endereços de e-mail usados ​​para atividades comerciais também podem conter dados pessoais. Esse é o caso quando um endereço de e-mail é estruturado da seguinte forma: [email protegido] A partir deste endereço de e-mail podem ser derivadas quais são as iniciais da pessoa que usa o endereço de e-mail, qual é seu sobrenome e onde essa pessoa trabalha. Portanto, a pessoa que usa este endereço de e-mail é identificável com base no endereço de e-mail.

Um endereço de e-mail não é considerado um dado pessoal quando nenhuma pessoa física pode ser identificada a partir dele. Este é o caso quando, por exemplo, o seguinte endereço de e-mail é usado: [email protegido] Este endereço de e-mail não contém dados que possibilitem a identificação de uma pessoa física. Endereços de e-mail gerais usados ​​por empresas, como [email protegido], também não são considerados dados pessoais. Este endereço de e-mail não contém nenhuma informação pessoal que permita identificar uma pessoa física. Além disso, o endereço de email não é utilizado por uma pessoa singular, mas sim por uma entidade jurídica. Portanto, não são considerados dados pessoais. Pode-se concluir da jurisprudência holandesa que os endereços de e-mail podem ser dados pessoais, mas nem sempre é esse o caso; depende da estrutura do endereço de e-mail.

Há uma grande chance de que pessoas físicas possam ser identificadas pelo endereço de email que estão usando, o que torna os dados pessoais dos endereços de email. Para classificar endereços de email como dados pessoais, não importa se a empresa realmente usa os endereços de email para identificar os usuários. Mesmo que uma empresa não use os endereços de email com a finalidade de identificação de pessoas físicas, os endereços de email dos quais as pessoas físicas podem ser identificadas ainda serão considerados dados pessoais. Nem toda conexão técnica ou coincidente entre uma pessoa e dados é suficiente para designar os dados como dados pessoais. No entanto, se existe a possibilidade de os endereços de email poderem ser usados ​​para identificar os usuários, por exemplo, para detectar casos de fraude, os endereços de email são considerados dados pessoais. Nisso, não importa se a empresa pretendia ou não usar os endereços de email para esse fim. A lei fala de dados pessoais quando existe a possibilidade de que os dados possam ser usados ​​para uma finalidade que identifique uma pessoa natural. [2]

Dados pessoais especiais

Embora os endereços de email sejam considerados dados pessoais na maioria das vezes, eles não são dados pessoais especiais. Dados pessoais especiais são dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação comercial e dados genéticos ou biométricos. Isso deriva do artigo 9 do RGPD. Além disso, um endereço de email contém menos informações públicas do que, por exemplo, um endereço residencial. É mais difícil obter conhecimento do endereço de e-mail de alguém do que o endereço residencial e depende em grande parte do usuário do endereço de e-mail, quer o endereço de e-mail seja tornado público ou não. Além disso, a descoberta de um endereço de email que deveria ter ficado oculto tem consequências menos graves do que a descoberta de um endereço residencial que deveria ter ficado oculto. É mais fácil alterar um endereço de email do que um endereço residencial e a descoberta de um endereço de email pode levar ao contato digital, enquanto a descoberta de um endereço residencial pode levar ao contato pessoal. [3]

Processamento de dados pessoais

Estabelecemos que os endereços de email são considerados dados pessoais na maioria das vezes. No entanto, o GDPR se aplica apenas a empresas que estão processando dados pessoais. O processamento de dados pessoais existe para todas as ações relacionadas a dados pessoais. Isso é definido mais detalhadamente no GDPR. De acordo com o artigo 4.º, n.º 2, do RGPD, o processamento de dados pessoais significa qualquer operação realizada em dados pessoais, seja por meios automáticos ou não. Exemplos são coleta, gravação, organização, estruturação, armazenamento e uso de dados pessoais. Quando as empresas realizam as atividades mencionadas acima em relação aos endereços de email, elas estão processando dados pessoais. Nesse caso, eles estão sujeitos ao RGPD.

Conclusão

Nem todos os endereços de email são considerados dados pessoais. No entanto, endereços de email são considerados dados pessoais quando fornecem informações identificáveis ​​sobre uma pessoa natural. Muitos endereços de email são estruturados de maneira que a pessoa natural que usa o endereço de email possa ser identificada. É o caso quando o endereço de email contém o nome ou local de trabalho de uma pessoa natural. Portanto, muitos endereços de email serão considerados dados pessoais. É difícil para as empresas fazer uma distinção entre endereços de email considerados dados pessoais e endereços de email que não são, pois isso depende inteiramente da estrutura do endereço de email. Portanto, é seguro dizer que as empresas que processam dados pessoais encontrarão endereços de e-mail considerados dados pessoais. Isso significa que essas empresas estão sujeitas ao GDPR e devem implementar uma política de privacidade compatível com o GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Compartilhe
Law & More B.V.